Version 5.21.0

REDAXO-Core 5.21.0 – 09.04.2026

Security

• Escaping in Exception-Messages korrigiert (gemeldet von @NumberOreo1) (@gharlan)

Neu

• Neue PHP-Mindestversion 8.3 (@gharlan)
• Symfony-Components von 6.4 auf 7.4 aktualisiert + weitere Vendor-Updates (@gharlan)
• Autoloader: Vendor-Klassen aus dem Core werden bevorzugt geladen (@gharlan)
• Console-Setup: DB-Passwort kann behalten werden ohne erneute Eingabe (@gharlan)
• rex_file: getMimeType liefert spezifische Mime-Types für csv, html, json, md, xml, ics, vcf (@gharlan)

Bugfixes

• rex_sql_table: Default-Wert bei TEXT-Spalten wird normalisiert für bessere Kompatibilität zwischen MariaDB und MySQL (@gharlan)
• rex_dir: Methode create ist robuster bzgl. gleichzeitiger Prozesse (@gharlan)

backup 2.10.0 – 09.04.2026

Neu

• Backup-Cronjob: Ältere Backups können nach auswählbarem Zeitraum komplett gelöscht werden (@gharlan)

be_style 3.8.0 – 09.04.2026

• Login-Seite: Neues Hintergrundbild (@tbaddade, @gharlan)
• Multiple-Selects: Häkchen für ausgewählte Optionen erscheint links vom Text statt ganz rechts (@tbaddade, @gharlan)
• Moduleingabe: Sticky footer (Übernehmen-/Speichern-Button) (@ynamite)

install 2.14.0 – 09.04.2026

Bugfixes

• Layout der verfügbaren Core-Versionen an Layout der Addon-Versionen angepasst (@gharlan)

mediapool 2.18.0 – 09.04.2026

Neu

• Erlaubte Mime-Types: ics, vcf und md ergänzt (@skerbis, @gharlan)

Bugfixes

• rex_media_service: getList hat sie Sortierung nicht angewandt, wenn kein Pager übergeben wurde (@gharlan)
• EP MEDIA_LIST_QUERY wird bei Paginierung auch für die Count-Query getriggert (@aeberhard, @gharlan)

phpmailer 2.17.0 – 09.04.2026

Neu

• Update auf PHPMailer 7 (@gharlan)

structure 2.20.0 – 09.04.2026

Neu

• Actions: Optional können eindeutige Schlüssel vergeben werden (ähnlich wie bei Templates/Modulen) (@skerbis)
• Linkmap: Visuelles Feedback bei Linkübernahme in Linklist (@Hasan-Alherek)
• EP SLICE_BE_PREVIEW: Slice-Revision wird mit als Param übergeben (@ynamite)
• Markup für die Slice-Ausgabe im Backend in Fragmente ausgelagert (@marcohanke)

Bugfixes

• Block hinzufügen: $this->getCurrentSlice() liefert korrektes (weitgehend leeres) Slice-Objekt (@gharlan)

users 2.12.0 – 09.04.2026

Neu

• Suche für Benutzerverwaltung (@akuehnis)

Version 5.20.2

REDAXO-Core 5.20.2 – 05.01.2026

Bugfixes

• rex_editor: in PHP 8.5 kam es teils zu Deprecated-Meldungen (@gharlan)
• EOL-Daten für PHP/MySQL/MariaDB aktualisiert (@gharlan)

backup 2.9.4 – 05.01.2026

Security

• Path Traversal beim Datei-Export verhindert (gemeldet von @lukasz-rybak) (@gharlan)

Version 5.20.1

REDAXO-Core 5.20.1 – 25.11.2025

Security

• Sicherheitslücke in symfony/http-foundation durch Update behoben (@gharlan)

mediapool 2.17.1 – 25.11.2025

Security

• XSS war möglich via URL-Parameter für die Dateitypeinschränkung im Medienpool (gemeldet von @tehofu) (@gharlan)

Version 5.20.0

REDAXO-Core 5.20.0 – 05.09.2025

Neu

• Setup: SSL-Datenbankverbindung kann konfiguriert werden (@skerbis, @gharlan)
• config.yml: Env-Variablen können genutzt werden über einen YAML-Tag !env (Beispiel: password: !env DB_PASSWORD) (@gharlan)
• rex_string: YAML-Decoding/Encoding untersützt YAML-Tags (@gharlan)

Bugfixes

• Session-Ablauf-Overlay
  • Erschien teilweise, obwohl die Session noch gar nicht abgelaufen war (@gharlan)
  • Button-Beschriftung korrigiert (@skerbis)
• rex_sql:
  • Neue Klasse Pdo\Mysql nutzen, wenn verfügbar (Vorbereitung für Deprecations in PHP 8.5) (@gharlan)
  • Fehlermeldung bei Verbindungsproblemen korrigiert (@staabm)
• Error-Handler wird bereits früher registriert und ist robuster bzgl. Fehler während der Generierung der Whoops-Seite (@gharlan)
• Textkorrekturen (@skerbis)

be_style 3.7.0 – 05.09.2025

• Login-Seite: Neues Hintergrundbild (@schuer, @gharlan)

install 2.13.1 – 05.09.2025

Bugfixes

• Wenn bei Addon-Updates Plugins gelöscht wurden, konnte es im Anschluss zu Fehlern kommen (teilweise erst später nach weiteren Aktionen) (@gharlan)
• Kommunikation mit redaxo.org ohne "www.", dadurch immer SSL-Zertifikat-Validierung (@gharlan)

media_manager 2.17.2 – 05.09.2025

Bugfixes

• Escaping des Mediatypnamens korrigiert (@gharlan)

mediapool 2.17.0 – 05.09.2025

Neu

• Erlaubte Mime-Types: vtt und srt ergänzt (@skerbis)

Bugfixes

• Update des SVG-Sanitizers inkl. Security-Fix (@gharlan)

phpmailer 2.16.0 – 05.09.2025

Neu

• Neue Archiv-Seite (@skerbis)

Bugfixes

• Umgang mit Fehlern bei den "MS Graph Credentials" optimiert (@tyrant88)

structure 2.19.0 – 05.09.2025

Neu

• Neue Berechtigung, um in der Linkmap alle Kategorien auswählen zu können (auch die, für die man ansonsten keine Rechte hat) (@skerbis)

Bugfixes

• Umwandlung Kategorie/Artikel (beide Richtungen): Priorität bei mehr als 100 Kategorien/Artikeln korrigiert (@gharlan)
• Version-Plugin: Nach Kopieren zwischen Live-/Arbeitsversion wurden die Slices der Quellversion ausgegeben (@gharlan)

Version 5.19.0

REDAXO-Core 5.19.0 – 17.07.2025

Neu

• Session-Ablauf wird über Modal-Overlay angekündigt, mit Verlängerungsoption (@dergel, @tbaddade, @gharlan)
• Neue Commands user:list und user:delete (@crydotsnake, @gharlan)

Bugfixes

• Nach Umstellung auf PHP 8.4 gingen die Passwörter bei den Usern teils verloren, die gerade mit "Eingeloggt bleiben"-Option eingeloggt sind, oder die sich über einen Passkey einloggen (@gharlan)
• rex_form: Vorhanden data-confirm-Attribute bei Control-Elementen werden nicht mehr überschrieben (@gharlan)
• Command user:create wurden fälschlich auch im Setup-Modus angeboten, obwohl er erst danach funktioniert (@gharlan)

be_style 3.6.0 – 17.07.2025

• Login-Seite: Neues Hintergrundbild (@gharlan)

install 2.13.0 – 17.07.2025

Neu

• Kommunikation mit redaxo.org mit SSL-Zertifikat-Validierung (@skerbis)
• AddOn-Website-Link wird als externer Link markiert und in neuem Tab geöffnet (@crydotsnake)

mediapool 2.16.0 – 17.07.2025

Neu

• Paginierung für die Medien (über Property rows_per_page konfigurierbar) (@Hasan-Alherek)
• Erlaubte Mime-Types:
  • text/csv wird erlaubt (@skerbis)
  • Passwortgeschützte Excel/Word-Dateien werden erlaubt (@crydotsnake)

metainfo 2.11.3 – 17.07.2025

Bugfixes

• Nach Löschung eines Feldes wurden die Prioritäten nicht neu gesetzt (@skerbis)
• Escaping des Meta-Präfixes korrigiert (@gharlan)

phpmailer 2.15.0 – 17.07.2025

Neu

• Neuer Mailer-Typ Microsoft365, der über die "Microsoft Graph API" versendet (@tyrant88, @skerbis)

structure 2.18.0 – 17.07.2025

Neu

• Inhalte zwischen Sprachen kopieren: Optional können vorhandene Inhalte überschrieben werden (@omphteliba)

Bugfixes

• History-Plugin: History-Datenbankstruktur an Struktur der Originaltabelle rex_article_slice angepasst (@dergel)

Version 5.18.3

REDAXO-Core 5.18.3 – 04.03.2025

Security

• API-Functions: Bei Nutzung von setRequiresReboot(true) war über den Result-Parameter in der URL Cross-Site-Scripting möglich (gemeldet von @0xadik) (@gharlan)

Bugfixes

• Console: Aufwärts-Kompatibilität zu neueren symfony/console-Versionen (@crydotsnake)
• Text-Optimierungen (@alxndr-w, @crydotsnake)

mediapool 2.15.3 – 04.03.2025

Security

• [BC-Break] Es ist nun default eine Liste mit erlaubten Dateiendungen und Mime-Types hinterlegt, um Probleme (z.B. XSS) mit unbekannten bzw. in der Blocklist nicht bedachten Dateitypen zu vermeiden (gemeldet von @0xadik) (@gharlan)
  • Die Default-Liste (siehe allowed_mime_types in der package.yml) kann z.B. im Project-Addon mittels rex_mediapool::setAllowedMimeTypes() ergänzt/überschrieben werden.
• Beim Austauschen existierender Dateien wurden die allowed_mime_types nicht beachtet (@gharlan)

cronjob 2.11.1 – 04.03.2025

Bugfixes

• Bei Cronjob-Klassen mit Namespaces bzw. Großbuchstaben konnten die Params in der Klasse nicht korrekt abgefragt werden (@gharlan)

media_manager 2.17.1 – 04.03.2025

Bugfixes

• Beim Nutzen der Mediapool-Services im Frontend wurde der Media-Manager-Cache nicht gelöscht und der Verwendungscheck hat nicht gegriffen (@marcohanke)

metainfo 2.11.2 – 04.03.2025

Bugfixes

• Wenn im Core-Setup die vorhandene Datenbank überschrieben wurde, kam es während des MetaInfo-Cleanups zum Fehler (@gharlan)

structure 2.17.4 – 04.03.2025

Bugfixes

• Wenn eine neue Sprache mit Prio=1 angelegt wird, wurden die Kategorien/Artikel nicht in die neue Sprache dupliziert (@gharlan)
• Beim Löschen von Sprachen aus dem Frontend heraus wurde die Artikel-Slice-Tabelle nicht aufgeräumt (@marcohanke)
• History-Plugin: Es wurden nur Snapshots erstellt, wenn Benutzer mit Rollback-Recht die Artikel bearbeitet haben, und nur im Backend (@marcohanke)
• Article/Category-Service: Es wurde nicht abgefangen, wenn die Zielkategorie nicht existiert (@dergel, @gharlan)

Version 5.18.2

REDAXO-Core 5.18.2 – 10.02.2025

Bugfixes

• rex_sql_could_not_connect_exception: Es war nicht ersichtlich, für welche DB-Verbindung die Exception geworfen wurde (@danspringer)

structure 2.17.3 – 10.02.2025

Security

• Content-Page: Der Artikelname wurde in in der Überschrift nicht escaped (Stored XSS; gemeldet von @geo-chen) (@gharlan)

be_style 3.5.1 – 10.02.2025

• Update Font Awesome auf 6.7.2 (@alxndr-w)

mediapool 2.15.2 – 10.02.2025

Bugfixes

• SVG-Filterung optimiert durch neuen SVG-Sanitizer (@gharlan)
• Dateiendung-Blockierung korrigiert (.json wird nicht mehr gesperrt aufgrund der .js-Sperre) (@omphteliba)

Version 5.18.1

REDAXO-Core 5.18.1 – 06.12.2024

Bugfixes

• PHP 8.4: Deprecated-Notices entfernt (@gharlan)
• Bei Login über Passkey wurde der "letzte Login" und andere Daten nicht aktualisiert (@gharlan)
• Profil: Die Passwortänderung war nicht möglich bei Login über Passkey (@gharlan)
• EOL-Daten für PHP/MariaDB aktualisiert (@staabm, @gharlan)

mediapool 2.15.1 – 06.12.2024

Bugfixes

• SVG-Filterung (XSS-Schutz):
  • Konfiguration des AntiXSS-Scripts optimiert für besseren Erhalt der SVG-Inhalte (@ischfr)
  • Die Filterung kann optional über die Property sanitize_svgs deaktiviert werden (bei eigener Risikoeinschätzung) (@gharlan)

Version 5.18.0

REDAXO-Core 5.18.0 – 22.10.2024

Neu

• dump: Unterstützung für Labels (dump(foo: $foo)) (@gharlan)
• rex_package: Neue Methode getLicense und ausgabe der Lizenz im Command package:list (@dergel)
• rex_var-Klassen können über register-Methode explizit registriert werden (@gharlan)
• Optimiertes Beenden der Response bei Nutzung von RESPONSE_SHUTDOWN (Code nach dem Senden der Response) (@gharlan)
• Optimierung Fehlermeldungen (@tyrant88, @gharlan)
• EOL-Daten für PHP/MySQL/MariaDB aktualisiert (@gharlan)

Bugfixes

• Passkey-Login funktionierte nicht, wenn zuvor ein Benutzername im Feld eingegeben wurde (@gharlan)
• Safari: Password-Toggle funktionierte nicht für generierte Passwörter (@gharlan)
• rex_string::highlight und Highlighting in rex_markdown für PHP 8.3 korrigiert (@gharlan)
• E_STRICT-Konstante nicht mehr nutzen (Vorbereitung für PHP 8.4) (@gharlan)

mediapool 2.15.0 – 22.10.2024

Security

• Weitere Extensions (insbesondere .html) werden geblockt, um XSS über diese Dateien zu verhindern (gemeldet von Valerii Voronin) (@skerbis)
• In SVG-Dateien wird beim Upload JS-Code entfernt, um XSS zu verhindern (gemeldet von Praison) (@gharlan)

be_style 3.5.0 – 22.10.2024

• Login-Seite: Neues Hintergrundbild (@dergel)
• Update Font Awesome auf 6.5.2 (@madiko)
• Neues Icon für Cronjob-Menüpunkt (@alxndr-w)

media_manager 2.17.0 – 22.10.2024

Neu

• Neuer EP MEDIA_MANAGER_INIT, der für jeden Aufruf getriggert wird (noch vor der Cache-Prüfung) (@gharlan)

phpmailer 2.14.0 – 22.10.2024

Neu

• Optimierung Error-Mails (bessere Vermeidung von Mehrfachversand, X-Mailer-Header für Identifizierung) (@skerbis)
• Neues Konfigurationsfeld für Return-Path (@tyrant88)
• Hilfe-Menüpunkt nach rechts versetzt (@alxndr-w)

structure 2.17.2 – 22.10.2024

Bugfixes

• rex_article_not_found_exception: Die aktuelle Artikel-ID wurde nicht auf den Fehlerartikel umgeschwenkt (@tyrant88)
• Artikelbearbeitung: Fehler vermeiden bei Benutzern mit limitierten Rechten (@gharlan)

Version 5.17.1

REDAXO-Core 5.17.1 – 07.04.2024

Bugfixes

• Exception-Messages wurden teils an Nicht-Admins ausgegeben (@gharlan)
• rex_sql: In der Debug-Ausgabe wurden in der fullquery Integerwerte als Strings eingesetzt (@gharlan)

be_style 3.4.1 – 07.04.2024

• Alte Login-Hintergründe wurden beim Update nicht aus dem Root-Assets-Ordner entfernt (@gharlan)

debug 1.3.2 – 07.04.2024

Bugfixes

• Als erster Request erschien immer der Abruf der manifest.json (@gharlan)

structure 2.17.1 – 07.04.2024

Bugfixes

• Modulverwaltung: "Eingabe"-Feld wurde ohne Codemirror angezeigt (@skerbis)